Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Banca y Finanzas
Deporte
Ciudades Inteligentes
Boletín de Ciberseguridad, 6 - 12 julio
Microsoft parchea 142 vulnerabilidades en el Patch Tuesday de julio
Con motivo del Patch Tuesday del mes de julio, Microsoft ha publicado parches para 142 vulnerabilidades, incluyendo cuatro 0-days, 2 de ellas explotados activamente. De entre todos los fallos parcheados destacan los siguiente al ser considerados críticos al permitir a los atacantes ejecutar código remoto, entre las que se incluirían CVE-2024-38074, CVE-2024-38076 y CVE-2024-38077, todas con CVSSv3 9.8 según Microsoft y afectarían a Windows Remote Desktop Licensing Service.
Asimismo, las cuatro 0-days parcheadas serían las denominadas CVE-2024-38080 (CVSSv3 7.8 según proveedor), CVE-2024-38112 (CVSSv3 7.5 según proveedor), CVE-2024-35264 (CVSSv3 8.1 según proveedor) y CVE-2024-37985. Estas permitirían a los actores maliciosos elevar sus privilegios Hyper-v en varias versiones de Windows 11, llevar a cabo ataques de spoofing a la plataforma MSHTML, ejecutar código .NET y Visual Studio de forma remota y ver la memoria heap de un proceso con privilegios que se ejecuta en el servidor de productos Windows 11 versión 22H2, respectivamente.
Zergeca: nueva botnet diseñada para ataques DDoS
Investigadores de QiAnXin XLab descubrieron una nueva botnet basada en Golang llamada Zergeca, diseñada para realizar ataques DDoS. La botnet utiliza múltiples métodos de resolución DNS y prioriza DNS sobre HTTPS para el C2, utilizando la biblioteca Smux para comunicación cifrada. Además, consta de cuatro módulos conocidos como persistencia, proxy, silivaccine y zombie, siendo este último el núcleo de la botnet, encargado de reportar información y ejecutar comandos.
Asimismo, Zergeca mantiene la persistencia en dispositivos comprometidos mediante el servicio geomi.service, que genera nuevos procesos si se reinicia el dispositivo. El análisis realizado concluyó que Zergeca cuenta con capacidades avanzadas, incluyendo proxy, escaneo, autoactualización, persistencia, transferencia de archivos, shell inverso y recopilación de información sensible. Además, se observó que su dirección IP C2 ha estado vinculada a la botnet Mirai desde 2023, sugiriendo que su creador tiene experiencia previa en operar estas redes.
Nuevo kit de phishing FishXProxy
El equipo de investigadores de SlashNext Email Security ha publicado una investigación en la que se detalla un nuevo kit de phishing al que se ha denominado FishXProxy. Según los expertos, es una herramienta peligrosa que está diseñada para crear y administrar sitios de phishing con el objetivo de evadir la detección y maximizar la tasa de éxito sin que el usuario requiera de conocimientos técnicos.
Entre sus características más destacadas es que la misma ofrecería una amplia gama de funciones avanzadas como configuraciones antibot, integración de Cloudflare Turnstile, redirecciones integrado y configuraciones de expiración de páginas. Asimismo, dicho kit ofrece a aquellos usuarios que contraten esta plataforma actualizaciones y soporte.
Detectada campaña de ciberespionaje de APT patrocinada por China
Actores de amenazas del grupo APT40, patrocinado por China, están secuestrando routers SOHO para lanzar ataques de ciberespionaje contra entidades gubernamentales, según se indica en un aviso conjunto de agencias de ciberseguridad internacionales. APT40, activo desde al menos 2011, ha atacado organizaciones gubernamentales y privadas utilizando vulnerabilidades en software como Microsoft Exchange y WinRAR; y además utilizan web shells y técnicas como Kerberoasting y RDP para moverse lateralmente dentro de las redes comprometidas.
En esta nueva campaña observada, estarían utilizando routers SOHO (Small Office, Home Office) al final de su vida útil, valiéndose de vulnerabilidades N-day con la finalidad de secuestrarlos y que actúen como proxies, para lanzar ataques mientras se mezclan con el tráfico legítimo. En fases finales del ataque, APT40 exfiltra datos a servidores C2 y mantiene una presencia sigilosa. Finalmente, el aviso recomienda parches oportunos, registro exhaustivo, segmentación de red y reemplazo de equipos EoL para defenderse ante estos ataques.
Campaña activa de Poco RAT contra organizaciones latinoamericanas
Cofense ha identificado una campaña de un nuevo malware denominado Poco RAT dirigida contra víctimas geolocalizadas en Latinoamérica en el contexto, principalmente, del sector minero. La campaña, que llevaría operando desde febrero de 2024, se propaga generalmente a través de correos electrónicos con pretextos financieros que contienen por lo general enlaces a archivos 7zip alojados en Google Drive.
Estos correos pueden incluir un enlace directo, un enlace en un archivo HTML o un enlace en un PDF adjunto. Una vez ejecutada y establecida la persistencia a través de una clave de registro, la aplicación se comunica contra un mismo C2 que solo responde si el equipo está localizado en Latinoamérica. Entre las funcionalidades identificadas se encuentra la capacidad para descargar y ejecutar otras aplicaciones y la posibilidad no ampliamente explotada de acceder a credenciales del equipo y la entrada de usuario.
◾ Este boletín es uno de los entregables de nuestro servicio Operational and Strategic Intelligence. Si deseas conocer el resto de los contenidos de inteligencia operativa y estratégica incluidos en el servicio contacta con nosotros →
